TÍCH HỢP AZURE AD ĐỂ BẢO VỆ ỨNG DỤNG DOANH NGHIỆP

1. Tích hợp Azure AD vào các ứng dụng mới

Khi doanh nghiệp bắt đầu sử dụng một ứng dụng mới, bạn nên thêm nó vào tenant Azure AD ngay. Thiết lập chính sách công ty để thêm ứng dụng mới vào Azure AD là thông lệ tiêu chuẩn trong tổ chức của bạn. Điều này ít gây gián đoạn cho các quy trình kinh doanh hiện có và cho phép bạn điều tra và chứng minh giá trị bạn nhận được từ việc tích hợp ứng dụng mà không làm thay đổi cách mọi người kinh doanh trong môi trường của bạn ngày nay.

Azure Active Directory (Azure AD) có một thư viện chứa hàng nghìn ứng dụng được tích hợp sẵn để giúp bạn dễ dàng bắt đầu. Bạn có thể thêm ứng dụng thư viện vào tổ chức Azure AD của mình với các hướng dẫn từng bước để tích hợp với các ứng dụng phổ biến như:

• ServiceNow
• Workday
• Salesforce
• AWS
• Slack

Ngoài ra, bạn có thể tích hợp các ứng dụng không có trong thư viện , bao gồm bất kỳ ứng dụng nào đã tồn tại trong tổ chức của bạn hoặc bất kỳ ứng dụng bên thứ ba nào từ nhà cung cấp chưa thuộc thư viện Azure AD. Bạn cũng có thể thêm ứng dụng của mình vào thư viện nếu ứng dụng không có ở đó.

2. Xác định mức sử dụng ứng dụng hiện có và ưu tiên công việc

Tiếp theo, khám phá các ứng dụng mà nhân viên thường xuyên sử dụng và ưu tiên công việc của bạn để tích hợp chúng với Azure AD. Bạn có thể sử dụng công cụ Cloud Discovery của Microsoft Cloud App Security để xác định các shadow IT trong hệ thống. Sau đó sử dụng Microsoft Defender for Endpoint để đơn giản hóa và mở rộng quy trình phát hiện.

Ngoài ra, bạn có thể sử dụng báo cáo hoạt động của ứng dụng AD FS trong cổng Azure để khám phá tất cả các ứng dụng AD FS trong tổ chức của bạn, số lượng người dùng duy nhất đã đăng nhập vào chúng và khả năng tương thích để tích hợp chúng với Azure AD.

Khi bạn đã phát hiện ra bối cảnh hiện có của mình, bạn sẽ muốn tạo một kế hoạch và ưu tiên các ứng dụng có mức độ ưu tiên cao nhất để tích hợp. Một số câu hỏi ví dụ bạn có thể hỏi để hướng dẫn quá trình này là:

• Ứng dụng nào được sử dụng nhiều nhất?
• Ứng dụng nào rủi ro nhất?
• Ứng dụng nào sẽ ngừng hoạt động trong tương lai, việc di chuyển là không cần thiết?
• Ứng dụng nào cần giữ ở on-premise và không thể di chuyển lên đám mây?

Bạn sẽ thấy những lợi ích và tiết kiệm chi phí lớn nhất sau khi tất cả các ứng dụng của bạn được tích hợp và bạn không còn dựa vào nhiều giải pháp nhận dạng nữa. Tuy nhiên, bạn sẽ trải nghiệm quản lý danh tính dễ dàng hơn và tăng cường bảo mật khi bạn tiến từng bước hướng tới mục tiêu này. Bạn muốn sử dụng thời gian này để sắp xếp thứ tự ưu tiên cho công việc và quyết định xem điều gì phù hợp với hoàn cảnh của mình.

3. Tích hợp các ứng dụng dựa trên các nhà cung cấp danh tính khác

Trong quá trình tìm kiếm, bạn có thể tìm thấy các ứng dụng không được theo dõi bởi phòng IT. Điều này có thể gây nguy hại cho các dữ liệu và tài nguyên doanh nghiệp. Bạn cũng có thể có các ứng dụng sử dụng các giải pháp nhận dạng thay thế, bao gồm Active Directory Federation Services (ADFS) hoặc các nhà cung cấp định danh khác. Xem xét cách bạn có thể củng cố danh tính và quản lý quyền truy cập của mình để tiết kiệm tiền và tăng cường bảo mật. Giảm số lượng các giải pháp nhận dạng bạn có sẽ:

• Giúp bạn tiết kiệm tiền bằng cách loại bỏ nhu cầu cung cấp và xác thực người dùng tại chỗ cũng như phí cấp phép trả cho các nhà cung cấp dịch vụ nhận dạng đám mây khác cho cùng một dịch vụ.
• Giảm chi phí quản trị và kích hoạt bảo mật chặt chẽ hơn với ít dư thừa hơn trong quy trình quản lý truy cập và nhận dạng của bạn.
• Cho phép nhân viên có quyền truy cập đăng nhập một lần an toàn vào tất cả các ứng dụng họ cần thông qua cổng MyApps .
• Cải thiện tính thông minh của các dịch vụ liên quan đến bảo vệ danh tính của Azure AD như quyền truy cập có điều kiện bằng cách tăng lượng dữ liệu nhận được từ việc sử dụng ứng dụng của bạn và mở rộng lợi ích của nó cho các ứng dụng mới được thêm vào.

Một nơi tốt để bắt đầu là đánh giá việc sử dụng Dịch vụ Liên kết Thư mục Hoạt động (ADFS) của bạn. Nhiều tổ chức sử dụng ADFS để xác thực với các ứng dụng SaaS, ứng dụng Dòng doanh nghiệp tùy chỉnh và các ứng dụng dựa trên Microsoft 365 và Azure AD:

Bạn có thể nâng cấp cấu hình này bằng cách thay thế ADFS bằng Azure AD làm trung tâm của giải pháp quản lý danh tính của bạn. Làm như vậy cho phép đăng nhập mọi ứng dụng mà nhân viên của bạn muốn truy cập và giúp nhân viên dễ dàng tìm thấy bất kỳ ứng dụng kinh doanh nào họ cần thông qua cổng MyApps , ngoài các lợi ích khác đã đề cập ở trên.

Sau khi Azure AD trở thành nhà cung cấp danh tính trung tâm, bạn có thể chuyển hoàn toàn từ ADFS thay vì sử dụng giải pháp liên kết. Các ứng dụng trước đây đã sử dụng ADFS để xác thực hiện có thể sử dụng Azure AD một mình.

Bạn cũng có thể di chuyển các ứng dụng sử dụng nhà cung cấp danh tính dựa trên đám mây khác sang Azure AD. Tổ chức của bạn có thể có nhiều giải pháp Quản lý quyền truy cập danh tính (IAM). Di chuyển sang một cơ sở hạ tầng Azure AD là cơ hội để giảm sự phụ thuộc vào giấy phép IAM (tại chỗ hoặc trên đám mây) và chi phí cơ sở hạ tầng. Trong trường hợp bạn có thể đã thanh toán cho Azure AD qua giấy phép Microsoft 365, không có lý do gì để trả chi phí bổ sung cho một giải pháp IAM khác.

4. Tích hợp các ứng dụng trên On-premise

Theo truyền thống, các ứng dụng được giữ an toàn bằng cách chỉ cho phép truy cập khi được kết nối với mạng công ty. Tuy nhiên, trong một thế giới ngày càng kết nối, chúng tôi muốn cho phép khách hàng, đối tác và / hoặc nhân viên truy cập vào các ứng dụng, bất kể họ ở đâu trên thế giới. Azure AD Application Proxy (AppProxy) là một tính năng của Azure AD kết nối các ứng dụng tại chỗ hiện có của bạn với Azure AD và không yêu cầu bạn duy trì các máy chủ biên hoặc cơ sở hạ tầng bổ sung khác để làm như vậy.

Ngoài ra, bạn có thể tích hợp bộ điều khiển phân phối ứng dụng như F5 Big-IP APM hoặc Zscaler Private Access. Bằng cách tích hợp những điều này với Azure AD, bạn có được xác thực và quản lý danh tính hiện đại của Azure AD cùng với các tính năng quản lý lưu lượng và bảo mật của sản phẩm đối tác. Chúng tôi gọi giải pháp này là Truy cập Kết hợp An toàn .

5. Tích hợp các ứng dụng tự phát triển của doanh nghiệp

Đối với các ứng dụng được tạo trong công ty của bạn, nhà phát triển của bạn có thể sử dụng nền tảng nhận dạng Microsoft để triển khai xác thực và ủy quyền. Các ứng dụng được tích hợp với nền tảng được đăng ký với Azure AD và được quản lý giống như bất kỳ ứng dụng nào khác trong danh mục đầu tư của bạn.

Các nhà phát triển có thể sử dụng nền tảng này cho cả ứng dụng sử dụng nội bộ và ứng dụng dành cho khách hàng và có những lợi ích khác đi kèm với việc sử dụng nền tảng này. Thư viện xác thực Microsoft (MSAL) , là một phần của nền tảng, cho phép các nhà phát triển cho phép các trải nghiệm hiện đại như xác thực đa yếu tố và sử dụng khóa bảo mật để truy cập ứng dụng của họ mà không cần phải tự triển khai. Ngoài ra, các ứng dụng được tích hợp với nền tảng nhận dạng Microsoft có thể truy cập Microsoft Graph- một điểm cuối API thống nhất cung cấp dữ liệu Microsoft 365 mô tả các mẫu năng suất, danh tính và bảo mật trong một tổ chức. Các nhà phát triển có thể sử dụng thông tin này để triển khai các tính năng giúp tăng năng suất cho người dùng của bạn. Ví dụ: bằng cách xác định những người mà người dùng đã tương tác gần đây và hiển thị họ trong giao diện người dùng của ứng dụng.